親会社や取引先からたとえば「SCS評価制度(★)で求められるセキュリティ対策は実施できていますか? その根拠として監査証跡(ログ)を提出できますか?」と突然問われて、即答できる企業はどれだけあるでしょうか。経済産業省が公表した「サプライチェーン強化に向けたセキュリティ対策評価制度(SCS評価制度)の制度構築方針(案)」により、製造業をはじめ多くの企業が「客観的な安全証明」を求められる局面が増えていきます。

この評価制度で、特に重要かつ現場でつまずきやすいのが「監査証跡(ログ管理)」です。
いつ・誰が・どの重要ファイルにアクセスし、何をしたのか。これらを追跡できる状態にしておかなければ、格付け評価を下げるだけでなく、最悪の場合、取引停止やリスクの説明責任にも影響します。本記事では、新制度の「星(★)評価」で押さえるべきポイントと、評価に直結しやすい「監査証跡」の要件、そして工数を抑えながら“監査に強い証跡”を残す具体策を解説します。

新制度「SCS評価制度」で求められる証跡とは

2026年度末を目指す「サプライチェーン格付け(★)」

これまで各社が独自のチェックシートで行っていたセキュリティ確認が、国の方針に沿った共通指標(★)として整理され、取引の現場で使われることが想定されています。制度は★3・★4・★5の3段階を予定しており、★3・★4については2026年度末頃の制度開始が予定されています。★3は「サプライチェーンに属する全ての企業が最低限実装すべき対策」として位置付けられています。

出典:経済産業省「SCS評価制度の構築方針(案)」https://www.meti.go.jp/press/2025/12/20251226001/20251226001.html

評価のカギを握る「監査証跡(ログ管理)」の定義

評価項目で重要視されるのが「監査証跡」です。監査証跡とは、情報システムに対する操作や事象を時系列で記録し、後から追跡・再現できる状態を指します。単に「ログを取っている」だけでは不十分で、「いつ・誰が・どのデータに触れ・何をしたか」を、必要なときに即座に提示できる運用が求められます。とくに図面や契約書など機密情報を扱うファイルサーバーの操作証跡は、情報漏洩リスクに直結するため、監査で厳しくチェックされやすい領域です。
監査で評価されやすいのは、ログの量ではなく使える状態です。ポイントは次の3つです。

  1. 検索性:誰が・いつ・何をしたかを、短時間で抽出できる
  2. 保存:要求される期間のログを、途切れなく保持できる
  3. 完全性(改ざん耐性):管理者であっても、恣意的に削除・編集できない設計になっている

どれか一つ欠けると、インシデント時の原因究明が遅れたり、取引先への説明責任が果たせなくなります。だからこそ「ログは取っている」ではなく、「監査で提示できる形に整えている」ことが、評価と取引の両方に効いてきます。

ファイルサーバーのログ管理で陥る「3つの落とし穴」

落とし穴1:ログが「読めない・探せない」問題

多くの企業で導入されているWindowsファイルサーバーでも、標準機能でアクセスログを取得できます。しかし実務では「ログの種類が多い」「形式が複雑」「追跡に専門知識が要る」などの理由で、必要な記録を短時間で抽出できないケースが珍しくありません。監査で求められるのは存在するログではなく、提示できるログです。いざという時に検索できないログは、証跡としての価値を大きく下げます。

落とし穴2:保存期間不足と改ざんのリスク

監査証跡は一定期間の保管が前提です。一方オンプレ環境では、ディスク容量や運用負荷の都合で「古いログを上書き・削除する」設定になっているケースが起こり得ます。また管理者権限が強い環境では、ログを削除・編集できてしまう設計・運用が問題視されます。監査の観点では、証跡の完全性(改ざん耐性)をどう担保するかが重要になります。

落とし穴3:監査用の「証跡パッケージ」を作れない

監査では「特定期間」「特定ユーザー」「特定ファイル(または共有スペース)」「操作内容」を、合理的な時間で切り出し、提出できる形に整える必要があります。ところがファイルサーバーのログは、形式がバラバラで突合が必要だったり、抽出・整形が手作業になりがちです。その結果、監査のたびに担当者の工数が膨らみ、対応が属人化し、いざという時の初動も遅れます。証跡は集計できて初めて価値が出るという点が盲点になりやすいのです。

Fleekdriveで実現する「監査に強い」ファイル管理

5年間の操作ログを自動で保存・保護

Fleekdriveでは、操作ログ(証跡)を一定期間保管し、監査時に求められる「継続的な証跡」を維持しやすい設計になっています。オンプレのように容量を気にしてログを削除する運用負荷を下げつつ、取引先に対して“客観的に説明できる証跡”を準備しやすくなります。

セキュリティ:https://www.fleekdrive.com/function/security/

検索とCSV出力で、監査提出用の形に落とし込みやすくする

証跡は、ユーザーや共有スペース、アクションなどで絞り込み、必要な期間の記録を検索して抽出できます。さらにCSV出力ができれば、監査で求められる“提出可能な形”に落とし込みやすく、監査対応の工数を大きく圧縮できます。

異常を予兆検知する「監査オプション」

記録するだけでなく、設定したポリシーに反する操作(例:業務時間外アクセス、深夜の大量ダウンロード等)を検知し、監査管理者へ通知できる仕組みがあると、事後対応だけでなく“早期検知・早期対処”へ寄せられます。上位評価を狙うほど、この運用の差が効いてきます。

証跡を「お守り」から「信頼の武器」へ

2026年度末頃の制度開始が見込まれる中で、ログ管理は単なるIT運用ではなく、取引の前提条件に近いテーマになります。監査で“出せる証跡”を作れるかどうかは、評価の獲得だけでなく、取引先からの信頼維持にも直結します。いまのファイル共有・ログ運用を棚卸しし、監査で求められる要件(検索性・保存・完全性)を満たす仕組みへ移行していきましょう。